Git Product home page Git Product logo

curso_dlp's Introduction

Curso de DLP: Prevención de Pérdida de Datos

Reconoce el valor de los datos como componente esencial de los negocios digitales

¿Qué es Seguridad de la Información y por qué hablamos de prevención de pérdida de datos?

Slides del curso

La Seguridad de la Información: Es un valor estratégico, generador de confianza.

No es solo Infraestructura: Va mucho más allá de la seguridad de los sistemas de información.

Es iterativa y resiliente: No solo busca preservar la información sino también permite potenciar los negocios.

La seguridad de la información busca garantizar 3 atributos fundamentales:

  1. Confidencialidad: La información debe ser accesible sólo a aquellas personas autorizadas.
  2. Integridad: La información debe ser completa, exacta e inalterada.
  3. Disponibilidad: La información debe poder ser consultada, localizada y/o recuperada cuando se le requiera.

Estudios de Casos: Riesgos materializados que han afectado a grandes empresas

Lecciones:

  • Ningún sistema es 100% seguro
  • La seguridad de la Información debe tratarse con un enfoque estratégico, transversal y preventivo
  • Es necesario siempre considerar el contexto y los comportamientos humanos
  • El liderazgo y la generación de competencias es fundamental para hacer una adecuada gestión de riesgos

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

Este es un proceso cíclico, no puede ser estático.

  1. Planeación y compromiso interno -> Esto es fundamental
  2. Identificación de activos de información -> ¿Qué datos utilizas en tu empresa?
  3. Identificación de riesgos, amenazas y/o vulnerabilidades -> Riegos y amenazas siempre nos pueden ocurrir. Desde inundaciones, hasta daños eléctricos e incendios.
  4. Identificación de controles, incidentes a incidentes -> Recuerda la triada de la información
  5. Ejecución - Monitoreo y evaluación -> Pon a prueba todo esto

Recuerda:

  • Análisis de contexto (Estudio del Negocio)
  • Identificación de Actores Internos y Externos
  • Comprimiso de Alta Dirección

¿Qué son los activos de Información? Cuál es su valor y cómo identificar los controles a implementar de acuerdo a su nivel de criticidad

Los activos de información son todos los recursos que apoyan tu modelo de negocio.

  • Bases de datos
  • Archivos
  • Manuales
  • Aplicaciones
  • Hardware
  • Software
  • Entre otros

¿Cómo identificar Activos de Información?

  1. Hacer un inventario de activos
  2. Identificar su responsable
  3. Determinar su nivel de importancia
  4. Clasificar los activos identificados

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

Los riesgos se identificar por:

  1. Tipos de activos
  2. Amenazas
  3. Vulnerabilidades
  4. Riesgos inherentes a la seguridad digital

¿Cuál es la diferencia entre amenaza y vulnerabilidad?

La amenaza es un factor externo. Algo que un tercero puede crear para dañarme.

La vulnerabilidad es un factor interno. Una debilidad propia.

Tenemos 2 tipos de riesgo:

  1. Ihnerente -> Propio del negocio
  2. Residual -> Podemos soportarlo

Debemos valorar qué tan probable es que suceda un riesgo y también valorar qué tan dañido es el negocio ese riesgo.

Tenemos 3 controles para la prevención de pérdida de datos:

  1. Controles en la Recolección
  2. Controles en el flujo de la información
  3. Controles en el alojamiento y disposición

Debemos calificar y evaluar nuestros controles, así como también saber cómo tratar los riesgos de manera constante.

Norma ISO 31000

Prevención de pérdida de datos, una visión estratégica y proactiva, no solo técnica y reactiva

Tim Cook sobre Apple y la privacidad: "Estamos de tu lado"

Recuerda esto: Si un usuario se da cuenta de que su información está siendo descuidada en tu negocio, es un usuario que no vuelve. Protege la información de tu empresa y tus usuarios.

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

Modelo de Gestión de Riesgos de Seguridad Digital y su relación con la Protección de Datos Personales

Vídeo de clase en YouTube

Reglamento Europeo de Protección de Datos

El reglamento 32 es importante.

Diferenciación de la Visión Europea de protección de datos personales, a la visión Norteamericana

IBM perfilando personas desde tiempos de la Alemania Nazi

La visión Europea es para evitar que esclavicen a la humanidad

La visión Americana es para comercializar los datos en donde te dan algo a cambio de tus datos

El modelo americano se ve en la Propuesta del estado de Califorma AB-375

Roles, Responsabilidades, Recursos y Criterios para la Gestión de Riesgos de Seguridad Digital

Roles:

  • Líder -> Encargado de asegurarse de que se aplican los controles de prevención de pérdida de datos. Debe saber la política de gestión de riesgos de seguridad. Indica a los demás qué tienen que hacer para cumplir con su rol.
  • Oficiales de cumplimiento -> Persona independiente que se encarga de evaluar los controles.
  • Responsables -> Decide cuál es la finalidad de qué hacer con la información.

Es importante que todos conozcan el contexto del negocio, cuáles son los activos de información.

Definición y tipologías de Riesgos y Gestión de incidentes de seguridad de la información

Artículo en Platzi

La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio

El Reglamento Europeo de Protección de datos, incorpora un modelo de protección basado en la Gestión de Riesgos, que se está convirtiendo en un estándar internacional.

Por lo tanto, la Preveción de Pérdida de Datos dentro de cualquier organización puede darse en los términos de dicha norma.

Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

Artículo en Platzi

Construye una política de prevención de pérdida de datos para tu organización

Identificación de información sensible dentro de los activos de información e infraestructuras cibernéticas críticas asociadas a su negocio

Fase 1: Planeción e identificación

  1. Ten claro tu negocio, y los flujos de información
  2. Analiza contexto interno y externo
  3. Caracteriza tus procesos y procedimientos

Fase 2: Preparación

  1. Identificar cuáles son las políticas de gestión y tratamiento que tienes definidas en tu organización (Si no las tienes debes redactarlas)
  2. Define roles y establece responsabilidades
  3. Asigna los recursos técnicos, administrativos y económicos necesarios para la implementación

Matriz de prueba DLP

Realiza una evaluación de impacto de privacidad

Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD

Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad

Fase 3- Construcción

  1. Identifica tus potenciales amenazas y vulnerabilidad
  2. Define y valora los riesgos inherentes a la seguridad digital
  3. Identifica y evalúa los controles de seguridad que vas a implementar

Técnicas de tratamiento de datos, minimización, anonimización, seudonimización, disociación y agregación de datos

Técnicas preventivas

  • Minimización (Control de recolección): Únicamente trata y recolecta aquellos datos que son absolutamente necesarios para tu objeto de negocio
  • Define roles (Control de flujo): Incorpora reglas de negocio que te permitan controlar los flujos internos a la información, para interrumpir automáticamente cualquier flujo o intercambio no autorizado.
  • Alertas de detección (control de flujo): Incorpora reglas de negocio que te permitan generar alertas para prevenir el acceso o intercambio de información no autorizada
  • Cifrado de información (control de tratamiento): Establece reglas para asegurar que la información que se comparta vaya siempre cifrada
  • Anonimización, Disociación y Agregación (control de tratamiento): Separa los datos del individuo, conviértelos en estadísticas, refínalos y aprovecha esta información
  • Realiza copias de seguridad (control de disposición): Define un plan de recuperación y continuidad, realiza copias de seguridad periódicas, y prueba tus mecanismos de recuperación de datos

Evaluación y retroalimentación de los controles asociados a tu actividad

Fase 4 - Seguimiento y Evaluación

  1. Elabora un plan de auditoria que te permita controlar la efectividad de tu política
  2. Asegúrate de que la alta direccon participe en el seguimiento y evalúe el desempeño
  3. Ten consolidado y actualizado tu reporte de incidentes

Todos los sistemas de control deben estar siendo evaluados y buscar mejorar.

Política de prevención de pérdida de datos

Guía de orientación para la GRS en el sector mixto y privado

Debemos llevar la matriz a un documento que será la política.

Qué hacer en caso de materialización del riesgo

¿Qué hacer en caso de materialización de un riesgo de seguridad o de pérdida o filtración de datos?

Recuerda que ningún sistema es 100% seguro.

Si sufrimos algún ataque, alguna pérdida de información, los pasos que debemos de gestionar con resiliencia son:

  1. Identificar qué fue lo que sucedió. ¿Por qué sucedió eso?
  2. Implementar lo más rápido posible el control.
  3. Evaluar, volver a preguntarnos, ¿qué fue lo que sucedió? ¿nuestro control es efectivo?

Siempre debes:

  • Garantizar la cadena de custodia
  • Analizar el flujo de información para identificr las causas
  • Activar el equipo de gestión de incidentes
  • Informar al usuario y a las autoridades *
  • Levantar un reporte de incidentes

Recuerda: LA RESPONSABILIDAD ES INSTITUCIONAL

Cadena de custodia de evidencias digitales y contacto con autoridades

Cadena de custodia: busca evitar que los elementos materiales de prueba sean alterados, ocultados o destruidos.

Cada país tiene su propia legislación, sin embargo, debes seguir el estándar ISO 27037:2012, tus controles deben garatizar como mínimo: la identificación, recolección, guarda y preservación de las potenciales evidencias, para que sean valoradas por los jueces y las autoridades.

ISO/IEC 27037:2012

Lecciones aprendidas de la gestión de incidentes

  • Analiza el contexto
  • Sé preventivo y no reactivo
  • Gestiona con resiliencia
  • Planifica tu control
  • Documenta los incidentes
  • Control estratégico

Métodos para la recuperación de datos

Recuerda que es supremamente importante que tengas un plan de recuperación y continuidad. Ten siempre un plan B. Esto te ayudará a garantizar la recuperación de tu información y la continudad de tu negocio.

  • Ejecuta frecuentemente copias de seguridad y ponlas a prueba.

Creación y restauración de copias de seguridad

Artículo en Platzi

Instituto Nacional de Ciberseguridad de España S.A.

10 preguntas sobre el backup que salvarán a tu negocio

Tipos de soluciones que se pueden implementar para prevenir la pérdida de datos

Artículo en Platzi

Best data loss prevention service of 2021

Conclusiones finales y cierre

Seguridad + Privacidad = CONFIANZA Y CRECIMIENTO

curso_dlp's People

Contributors

mike-droid avatar

Watchers

avatar avatar

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.